Mafia lokatowa
Przestępcy z Warmii znaleźli sprytny sposób, aby okradać posiadaczy lokat bankowych.
Jeden wirtualny skok przynosił kilka lub kilkanaście tysięcy złotych. Aby te pieniądze zdobyć, nie należało nawet wychodzić z domu. Wystarczyło zalogować się do internetu, wejść na stronę banku, wpisać hasło dostępu do konkretnego konta, wybrać ikonę „lokaty”, a potem zlecić przelew i potwierdzić kodem autoryzacyjnym. Ten ostatni przychodził SMS-em, ale nie na telefon faktycznego właściciela, tylko internetowego złodzieja. Następnie system bankowy blokował pieniądze i najbliższą sesją wysyłał je do odbiorcy. Gdy okradziony człowiek orientował się, że padł ofiarą przestępstwa, z jego pieniędzy korzystał już ktoś inny.
Głośny cios
W sobotę 11 maja Prokuratura Okręgowa w Olsztynie pochwaliła się nietypowym sukcesem. Oto na jej polecenie Centralne Biuro Śledcze Policji zatrzymało 19 osób, które miały tworzyć prężną szajkę okradającą konta bankowe Polaków. Materiał dowodowy okazał się na tyle poważny, że olsztyński sąd zdecydował o tymczasowym aresztowaniu aż 14 osób. – Z ustaleń śledztwa wynika, że podejrzani wyłudzili 100 tys. złotych z kont bankowych oraz usiłowali wyłudzić kolejne 12 mln złotych od kilku pokrzywdzonych – mówi Ewa Bialik z Prokuratury Krajowej.
Bankierzy i hakerzy
Pierwszym ogniwem grupy byli pracownicy banku. Zajmowane stanowiska dawały im dostęp do informacji o tym, kto posiada w banku lokatę i na jaką kwotę. Dysponowali również danymi osobowymi każdego takiego klienta, w tym jego numerem telefonu. To o tyle istotne, że w większości banków do wykonania przelewu konieczny jest telefon, na który system wysyła tzw. kod autoryzacyjny. To kilka cyfr, które należy podać po zleceniu przelewu, aby bank wysłał pieniądze. – Mechanizm był prosty: pracownik banku wskazywał dane klienta, który był posiadaczem lokaty, oraz przekazywał login do jego konta i numer telefonu komórkowego – opowiada oficer CBŚP. To nie wystarczało, bo trzeba było znać jeszcze hasło dostępu do konta, a takiej informacji pracownik banku nie ma. Wtedy do gry wchodził inny specjalista – haker. Włamywał się do systemu bankowego i próbował wykraść takie hasło. Potem wystarczyło na telefon komórkowy klienta banku wysłać aplikację szpiegowską (najczęściej pod pozorem reklamy jakiejś usługi czy SMS-a zawierającego informację o „wygranej” w loterii) i dzięki temu śledzić przychodzące wiadomości i połączenia. W taki sposób haker poznawał kod autoryzacyjny wysłany do klienta, wpisywał go i zlecał przelew. Wystarczyło poczekać do najbliższej sesji wychodzącej (moment, kiedy pieniądze opuszczają bank) i zaczekać kilka godzin, aż zaksięgują się na wskazanym koncie.
Z naszych informacji wynika, że hakerzy pracowali między północą a szóstą rano. Z czego to wynika? – W tym czasie większość z nas śpi i nie myśli o rachunku bankowym – mówi oficer CBŚP. – Tym samym więc prawdopodobieństwo, że ktoś zorientuje się, iż haker przejmuje jego konto, jest bardzo małe. Jak zaznacza nasz rozmówca, w większości banków pierwsze sesje wychodzące odbywają się między godziną 6 a 8 rano, gdy przeciętny Polak przygotowuje się do pracy i nie podejrzewa, że ktokolwiek dobiera się do jego oszczędności. Sprytny haker mógł więc zlecić przelew kilka minut przed sesją wychodzącą i w ten sposób zminimalizować szanse, że jego ofiara się zorientuje.
Kiedy okradziony klient dowiadywał się o tym, że padł ofiarą oszustwa? Wtedy, gdy logował się na swoje konto i stwierdzał, że nie ma na nim pieniędzy. Alarmował więc bank, zgłaszał się na policję i rozpoczynała się długa procedura. Wszystko było tym bardziej nieprzyjemne, że trzeba było pożyczyć pieniądze, aby przeżyć do najbliższej wypłaty.
Fałszywe dokumenty
Istniał drugi sposób na przejmowanie lokat, znacznie prostszy. – Pracownik banku udostępniał dane osobowe klienta posiadającego większą sumę – ujawnia oficer CBŚP. – Te dane wpisywano do podrabianych dokumentów, gdzie zamieszczano zdjęcie członka szajki. Z takim lewym dokumentem oszust udawał się do placówki bankowej i zlecał przelew. Pracownik banku nie znał osobiście wszystkich klientów, więc nie nabierał podejrzeń, tym bardziej że wszystkie dane się zgadzały. Oszuści działali tak profesjonalnie, że starali się przyjść do banku co najwyżej kilkanaście minut przed sesją przychodzącą. Po załatwieniu formalności pieniądze schodziły z konta, po oszuście ślad znikał, a gdy właściciel rachunku orientował się w sprawie, było już za późno, aby odwołać przelew.
Konto na słupa
Każda transakcja pozostawia ślad w systemie bankowym. Na tej podstawie można więc prześledzić obieg pieniędzy i zorientować się, na jakie konto środki zostały przelane. Organy państwowe bez problemu mogą uzyskać informację, kto jest posiadaczem konkretnego rachunku. Tyle tylko, że przestępcy i na to byli przygotowani. – W śledztwie okazywało się, że rachunki bankowe należą do osób bezdomnych, które trudno było znaleźć – mówi oficer CBŚP. – Gdy już udało się ich znaleźć, to nie byli oni w stanie przypomnieć sobie, na czyje polecenie zakładali rachunki bankowe. Co się działo z pieniędzmi zaksięgowanymi na tych kontach? Były wypłacane z bankomatów za pomocą kart debetowych wystawianych na nazwiska właścicieli rachunków (czyli bezdomnych). Oszuści popełnili jednak błąd, bo wypłacali pieniądze w miejscach objętych kamerami monitoringów. I z tego właśnie powodu, po wielu miesiącach, namierzyli ich policjanci.
Wielka pralnia
Co działo się dalej z wypłacanymi pieniędzmi? Śledczy z Olsztyna zdobyli dowody, że oszuści wpłacali je na swoje prywatne konta bankowe lub próbowali inwestować w legalne biznesy. Usłyszeli za to zarzuty tzw. prania brudnych pieniędzy, czyli legalizacji środków uzyskanych wskutek przestępstwa. Polski Kodeks karny przewiduje za to do 10 lat więzienia.
Prokuratorzy i policjanci zdobyli dowody, że grupa oszustów przygotowywała się do serii przejęcia bankowych lokat, co łącznie miało im przynieść 12,5 mln złotych zysków. Jak to się stało, że ich plany spaliły na panewce? – Nie wiedzieli, że nasi koledzy zajmujący się cyberprzestępczością namierzyli adresy IP komputerów, z których dokonywano oszustw – ujawnia oficer CBŚP. – Potem, krok po kroku, ustalono dane osobowe oszustów, połączenia między nimi i rolę każdego z nich w procederze. Niestety, tylko część pieniędzy udało się odzyskać. Nawet jeśli sąd skaże internetowych oszustów, to jest mała szansa, że ich ofiary odzyskają swoje oszczędności.
Potrzebna czujność
Czy to wszystko oznacza, że oszczędności Polaków zgromadzone na bankowych lokatach nie są bezpieczne? – Bankowe systemy informatyczne są coraz lepsze i gwarantują coraz większy poziom bezpieczeństwa, ale nie są i nigdy nie będą skuteczne w 100 proc. – mówi Jarosław Bartniczuk, emerytowany oficer Biura Ochrony Rządu, dziś właściciel firmy zajmującej się cyberbezpieczeństwem. – Jeśli informatyk wymyśla algorytm, który ma zabezpieczać lokatę bankową przed dostępem niewłaściwych osób, to zaraz znajdzie się haker, który szuka sposobu, aby te zabezpieczenia obejść i dostać się do naszych pieniędzy. To raczej się nie zmieni, bo udany skok to perspektywa zarobienia ogromnych pieniędzy i to ona kusi wirtualnych złodziei.
Co zatem zrobić, aby nie stracić swoich oszczędności? – Pod żadnym pozorem nie należy udostępniać nikomu hasła do swojego konta bankowego. Jeśli dostajemy SMS-a czy e-maila zawierającego prośbę o podanie hasła lub danych osobowych przypisanych do konta, to nie wolno tej prośby spełniać, za to należy jak najszybciej skontaktować się z bankiem i powiadomić o tym. Bartniczuk podkreśla, że banki nigdy nie proszą swoich klientów, aby w mailach podawali hasła dostępu do swoich kont czy dane osobowe. Jeżeli zhakowanie systemu bankowego wraz z przełamaniem zabezpieczeń narazi nas na stratę, to bank lub Bankowy Fundusz Gwarancyjny zwróci nam pieniądze. Jeżeli bank wykaże, że to my przyczyniliśmy się do straty, udzielając informacji o loginie lub haśle do bankowości elektronicznej, może wykazać nam zaniedbanie i odmówić pokrycia strat.